Defaults.Exposed › Oppsett › DMARC

Slik setter du opp DMARC på AWS Route 53

Legg til en DMARC-post i Route 53-sonen din for å fortelle e-postleverandører hva de skal gjøre med e-post som ikke passerer sjekken din.

Derfor er dette viktig for virksomheten din

DMARC knytter SPF og DKIM sammen og legger til den instruksjonen som mangler: hva skal en mottakende e-postleverandør gjøre når en e-post som utgir seg for å komme fra deg, ikke består sjekken? Uten DMARC gjetter hver leverandør. Med DMARC bestemmer du — og du kan be dem sende deg rapporter som viser hvem som sender e-post i ditt navn.

Enkelt sagt: DMARC er det som faktisk forhindrer kriminelle fra å forfalske domenet ditt for å lure kunder eller ansatte. Det er policyen som ligger over lås-mekanismene SPF og DKIM gir — gratis, og absolutt verdt de få minuttene det tar.

Sett opp SPF og DKIM først

DMARC fungerer ved å sjekke resultatene fra SPF og DKIM. Har du ikke lagt til disse ennå, gjør det først — en DMARC-policy uten noe under seg har ingenting å håndheve.

Bekreft at Route 53 håndterer DNS-en din

Som med alle DNS-poster fungerer dette bare hvis Route 53 svarer på DNS for domenet ditt. Route 53 er DNS-verten din, ikke postkassel everandøren din. I Route 53-konsollen åpner du Hosted zones, velger domenet ditt og noterer de fire NS (nameserver)-verdiene; disse må stemme overens med nameserverne som er satt hos registraren din. Registrerte du domenet gjennom Route 53, stemmer de vanligvis allerede; er det registrert andre steder — eller har du mer enn én hosted zone for domenet — sjekk nøye. Peker de aktive nameserverne andre steder, legg til DMARC-posten hos den leverandøren som håndterer DNS-en din.

Steg for steg på Route 53

1. Logg inn på AWS-konsollen og åpne Route 53.
2. I venstremenyen velger du Hosted zones, og klikker deretter på domenets navn.
3. Klikk Create record.
4. Vises en veiviser med rutingalternativer, bytt til enkeltskjemaet (se etter Quick create record).
5. I Record name skriver du nøyaktig: _dmarc Skriv ikke domenenavnet etter det — Route 53 legger til domenet for deg (det vises ved siden av feltet).
6. Sett Record type til TXT.
7. I Value starter du forsiktig med en overvåkingsbasert policy, pakket inn i doble anførselstegn: "v=DMARC1; p=none; rua=mailto:[email protected]" Erstatt adressen med en postkasse du faktisk leser. Dette ber leverandørene sende deg sammendragsrapporter uten at behandlingen av noen e-post endres ennå.
8. La TTL stå på standard.
9. Klikk Create records.

Velge policy (p=-delen)

• p=none — kun overvåking. Ingenting blokkeres; du mottar bare rapporter. Start her.
• p=quarantine — send e-post som feiler til søppelpost/junk.
• p=reject — avvis e-post som feiler fullstendig (sterkest beskyttelse).

Kjør p=none i noen uker, les rapportene for å bekrefte at all legitim e-post passerer, og gå deretter videre til quarantine og til slutt reject. Å hoppe rett til reject uten å ha sjekket rapportene risikerer å blokkere din egen ekte e-post.

Vanlige feil på Route 53

• Verdien må være i doble anførselstegn. Route 53 forventer at du skriver anførselsintegnene selv: "v=DMARC1; p=none; ...". Å utelate dem er den vanligste Route 53-feilen.
• Postnavnet er _dmarc, med understrek. En vanlig feil er å droppe understreken, eller å skrive _dmarc.yourdomain.com — i Route 53 skriver du bare _dmarc og sonen legges til automatisk. Å skrive hele domenet skaper en ødelagt _dmarc.yourdomain.com.yourdomain.com-vert som aldri sjekkes.
• Bare én DMARC-post. Som med SPF kan det bare være én DMARC TXT-post på _dmarc. Finnes det allerede en, rediger den i stedet for å legge til en ny.
• Bruk en ekte rapportpostkasse. Adressen etter rua=mailto: bør være en du faktisk sjekker, ellers er rapportene bortkastet. Den kan ligge på samme domene eller et annet. (Peker du rapporter til et domene du ikke kontrollerer, må det domenet autorisere dette — men for ditt eget domene er det greit.)
• Riktig hosted zone, riktig konto. Med flere soner eller AWS-kontoer er det lett å redigere feil. Bekreft at sonens fire NS-verdier stemmer med de aktive nameserverne dine.
• Gi det tid. DNS-endringer kan ta fra noen minutter til et par timer å tre i kraft.

Bekreft at det fungerte

Når posten er lagret og propagert, kjør den gratis sjekken på dette nettstedet. Den forteller deg på klartekst om DMARC-posten er på plass og hvilken policy du har satt.

Ferdig? Sjekk domenet ditt gratis for å bekrefte at det virket — og se hele karakteren din på tvers av alle 34 sjekker.